手动清除“魔波” 让病毒不再猖狂

水煮鱼 · 发表于 2008-4-14 01:19:34

近些时日，利用微软MS06-040高危漏洞进行传播的恶性病毒——“魔波（Worm.Mocbot.a）”和“魔波变种B(Worm.Mocbot.b)病毒异常泛滥，不少网友纷纷中招，导致系统瘫痪，不能正常工作。求助网上一些杀毒工具，均不能有效清除该病毒。 
　　因此，我们提供最安全、最稳妥的手动清除方式来除掉“魔波”病毒，让病毒不再继续猖狂。由于手动清除需要对操作系统比较了解，对这方面不是很熟悉的网友还是尽量在高手的指点下进行手动清除工作。
　　重启进入安全模式。
　　1. 打开注册表编辑器。点击开始>运行，输入REGEDIT，按Enter
　　2. 在左边的面板中，双击:HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services
　　3. 仍然在左边的面板中，找到并删除如下键：“wgareg”魔波（Worm.Mocbot.a）、“wgavm
　　”魔波变种B(Worm.Mocbot.b)
　　恢复EnableDCOM和RestrictAnonymous注册表项目
　　1. 仍然在注册表编辑器中，在左边的面板中，双击： HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Ole
　　2. 在右边的面板中，找到如下项目：IEnableDCOM = "N"
　　3. 右击该项目选择修改值为： EnableDCOM = "Y"
　　删除关于管理共享的注册表项目
　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmanserver>parameters
　　2. 在左边的面板中，找到并删除如下项目：
　　a. AutoShareWks = "dword:00000000" 
　　b. AutoShareServer = "dword:00000000"
　　3. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet> Services>lanmanworkstation>parameters
　　4. 在左边的面板中，找到并删除如下项目：
　　a. AutoShareWks = "dword:00000000"
　　b. AutoShareServer = "dword:00000000"
　　魔波（Worm.Mocbot.a，又称WORM_IRCBOT.JL）删除添加或者修改的注册表项目
　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
　　2. 在右边的面板中，找到项目：o FirewallDisableNotify = "dword:00000001" o AntiVirusOverride = "dword:00000001" o AntiVirusDisableNotify = "dword:00000001" o FirewallDisableOverride = "dword:00000001"
　　3. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile
　　4. 在右边的面板中，找到项目：EnableFirewall = "dword:00000000"
　　5. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile
　　6. 在右边的面板中，找到项目：:EnableFirewall = "dword:00000000"
　　7. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
　　8. 在右边的面板中找到如下项目：:Start = "dword:00000004"
　　9. 右击该项目选择修改值为： Start = "dword:00000002"
　　10. 关闭注册表编辑器。
　　魔波变种B(Worm.Mocbot.b，又称WORM_IRCBOT.JK)删除添加或者修改的注册表项目：
　　1. 在注册表编辑器中，在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Security Center
　　2. 在右边的面板中，找到并删除如下项目：:
　　AntiVirusDisableNotify = "dword:00000001"
　　AntiVirusOverride = "dword:00000001"
　　FirewallDisableNotify = "dword:00000001"
　　FirewallDisableOverride = "dword:00000001"
　　3. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>SharedAccess
　　4. 在右边的面板中，找到项目： Start = "dword:00000004"
　　5. 右击该注册表项目，选择修改项目值为：Start = "dword:00000002"
　　6. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>DomainProfile
　　7. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"
　　8. 在左边的面板中，双击：HKEY_LOCAL_MACHINE>SOFTWARE>Policies>Microsoft>WindowsFirewall>StandardProfile
　　9. 在右边的面板中，找到并删除如下项目：EnableFirewall = "dword:00000000"
　　10. 关闭注册表编辑器
　　附加Windows ME/XP清除说明
　　运行Windows ME和XP的用户必须禁用系统还原，从而可以对受感染的系统进行全面扫描。运行其他Windows版本的用户可以不需要处理上面的附加说明。
　　杀毒工具推荐：
　　<A href="http://down.ddvip.com/result.php?name=魔鬼波" target=_blank>目前豆豆软件园提供两款魔鬼波病毒专杀工具</A>
　　<A href="http://down.ddvip.com/view/11555545884564.html" target=_blank>金山魔鬼波病毒专杀工具(Worm.IRC.WargBot) V2006.8.14.13</A>
　　<A href="http://down.ddvip.com/view/11555548614565.html" target=_blank>江民魔鬼波病毒专杀工具</A>
　　为了你系统免受此病毒感染，请及时到豆豆软件园下载相关升级包。
　　<A href="http://down.ddvip.com/list/47.html" target=_blank>微软系统升级补丁</A>

账号		自动登录	找回密码
密码			注册账户

手动清除“魔波” 让病毒不再猖狂

相关帖子